인터넷뱅킹 사고: 은행책임 인가, 고객책임 인가?

2009.03.21 글쓴이 youknowit

Kazian 님께서 댓글로 문의하신 내용은 많은 분들께서 궁금해 하시는 것이라는 생각이 들어, 별도의 글로 적습니다.

질문의 요지는 “은행이 제공하는 보안 프로그램을 사용하지 않고 개인 보안 프로그램을 사용하다가 보안 사고가 발생했을 시 책임 주체는 은행인가, 고객인가?” 라는 것입니다.

제가 가진 법률지식 범위 내에서 말씀드리면 다음과 같습니다.

전자금융거래에서 발생한 사고로 고객에게 손해가 생긴 경우, 개인 고객인 경우에는 금융기관이 그 고객에게 “고의나 중대한 과실(잘못)”이 있다는 점을 입증하면, 금융기관이 배상책임을 면하고, 그렇지 않으면 금융기관이 배상해야 합니다.

금융기관을 면책시키는 고객의 고의나 중대한 잘못은 i) 접근매체(인증서/보안카드 등)를 고객이 제3자에게 제공하거나, ii) 해커가 고객의 접근매체를 입수하여 거래를 할 수 있는 상황이라는 것을 고객이 “쉽게 알 수 있었음에도” 자신의 접근매체를 누설, 노출, 방치한 경우에 한하며, 이런 내용이 은행과 고객 간의 전자금융거래 약관에 미리 기재되어 있어야 합니다.

이상은 관련 규정에 적힌 내용입니다.

금융권에 근무하시는 분들과 보안업체 종사자분들께서는 공인인증서 사용을 강제하고 보안프로그램 설치를 강제해 두면, 사고가 터져도 은행이 책임을 면할 수 있다고 말씀하십니다.

그러나, 이런 생각은 법적 근거가 없습니다.

은행이 시키는대로 평소에 공인인증서를 사용하고, 보안프로그램도 모두 설치한 고객은 고의도 없고, 중대한 잘못도 없다고 인정 받을 것입니다. 따라서 책임을 면하는 자는 고객이지, 은행이 아닙니다.

공인인증서 사용을 강제하면 고객이 그 거래를 부인하지 못한다는 주장도 매우 흔하게 나돌고 있습니다. 그러나, 실제로는 전혀 다릅니다.

은행은 당연히 고객의 공인전자서명을 확보하고 거래를 승인하였을 것입니다(전자서명이 없으면, 아예 거래가 진행되지 않도록 해두었으니 당연하지요). 그러나, 고객의 컴퓨터가 해킹당하여 키로거가 설치되고, 고객의 공인인증서 파일이 유출되었다면(이 지경이 되지 않으면, 사고가 터질 이유도 없겠지요), 고객의 공인인증서/비밀키 파일은 공격자도 가지고 있게 되고, 은행이 아무리 키보드 보안프로그램 설치를 강제해도, 은행이 아닌 다른 웹사이트의 암호와 인증서 암호가 동일한 경우가 많으므로, 인증서 암호의 유출을 막을 수는 없습니다.

따라서, 사고거래의 전자서명은 고객 자신이 한 것이 아니라는 주장은 고객의 컴퓨터에 침입흔적이 있다는 점만 밝혀진다면 법원이 쉽게 받아들일 것입니다. 자신의 컴퓨터가 침입공격을 당하고 키로거가 설치되었다는 사실을 모르고 있었다는 것이 고객의 “중대한 잘못”일까요? 만일 제가 고객의 입장이었다면, 저는 이렇게 말할 것입니다:

“저는 은행이 설치하라는 보안프로그램은 모두 설치했습니다. 저는 은행이 설치하는 프로그램이 제 컴퓨터를 지켜준다고 믿었으므로, 별도로 안티바이러스 프로그램을 설치하지 않았습니다. 제가 무슨 큰 잘못을 저질렀나요?”

아마도 사건을 담당하는 판사님도 이런식으로 생각하고 계실 것입니다.

실제로 금융기관이 설치를 강제하는 개인방화벽/키보드보안 ActiveX는 은행 사이트에 접속해 있는 동안만 작동하는것이라는 점이 재판과정에서 밝혀지고, 이런 프로그램을 아무리 설치해 본들 고객 PC가 평소에 침입공격을 당하는 것을 막을 수는 없다는 사실을 판사님이 알게되면 은행을 면책하기는 커녕, 오히려 “괘씸죄”마저 적용하지 않을까요?

따라서, 법률상으로든, 기술적으로든 간에 “보안프로그램 설치 여부”가 배상책임의 소재를 결정짓는 것은 아닙니다. 이 규정은 그동안 몇몇 국내 보안업체들이 금융기관들을 상대로 “땅짚고 헤엄치기” 장사를 할 수 있도록 하고(은행을 통하여 자기 브랜드를 선전하는 판촉 샘플을 뿌리면서 은행으로부터 돈을 받아 챙기는 신나는 구도입니다), 세계적 수준의 제대로 된 보안 업체들이 한국 시장에 아예 발을 못붙이게 진입장벽을 만드는 용도로 사용되어 온 것입니다.

진정으로 바이러스 확산을 막고 싶으면, 이용자들이 본격적인 안티바이러스 소프트웨어를 스스로 선택하여 내려받을 수 있도록 일목요연한 링크를 이렇게 제시하면 됩니다. 금융사이트에 접속해 있는 동안만 실행되고, 그 사이트를 벗어나는 순간 아무것도 모르는 이용자를 무방비 상태로 빠뜨리는 괴상망측한 프로그램을 강제 설치하면서, 보안경고창이 나타나면 “예”를 눌러 없애라는 식으로 안내하지 마십시오. 도대체 어쩌려고 그러셨습니까?

참고 글: “인터넷 뱅킹 사고를 막을 수 있는 최선의 방법” — http://skysummer.com

  • AppleADay

    보안업체들의 행태도 사기성이 있지만 금융기관들도 다소 사기성이 있지 않나 생각이 듭니다. 그 많은 금융기관들 중 단 하나도 깊게 연구하고 “이 방식은 아닌거 같다”라고 생각하고 줏대있게 독자적인 방향으로 갈 생각을 안했다는 것이 정말 집단사고(group think)g의 전형적인 모습 같습니다. 남들이 다 하니까 (홀로 서면 왠지 불안하니까), 남들이 다 하는 거 안하면 고객들이 (보안에 대해 잘 알지도 못하면서) 불안해 하고 오지 않을까바 덩달아 남들처럼 움직인 것 아닐까요? 불법행위인 줄 알면서도 경쟁업체가 한다는 이유로 정당화하는 것과 비슷하다고나 할까요. 사실은 자기도 확신이 없으면서 업체만 믿고, 남들 다 이렇게 하는 것 같으니까 (정부기관조차도 그렇게 하니까. 그러나 정부기관이라고 늘 100% 옳다는 법 있나요?) 정확한 검증을 하지도 않았으면서 말씀하신 것처럼 반은 책임회피용으로, 또 반은 전시용으로 그런 업체들의 “솔류션”을 받아들인 것 아닌가 생각이 듭니다. 그러한 무의미한 쇼를 해왔던 것도 반쯤 사기 아닐까요? 검증도 제대로 안 한 쓰레기 보안툴들을 강제로 배포하면서 효능이 있는 것 같은 인상을 소비자에게 준 것에 대해서는 최소한 중과실 책임을 져야 하는 것 아닐까요? 법적으로는 책임증명이 힘들겠지만 도덕적인 책음은 명백하지요.

  • viz

    위 글의 핵심 논지-현 인터넷 뱅킹 시스템이 일반 사용자의 보안의식에 악영향을 미침-에 대해서 전적으로 동의합니다.
    그런데 글의 내용 중 기술적으로 올바르지 않는 부분이 좀 있는 듯합니다.

    1) 안티바이러스 프로그램은 바이러스를 “예방” 할 수 있습니다. 상식을 지키는 안티 바이러스 솔루션이면 모두 실시간 감시 기능이 존재하고 이 실시간 감시 기능을 사용하면 바이러스가 시스템에 침투하는 과정을 감지하여 막아낼 수 있습니다. 실제로 동작하는 모습을 보고 싶으시면 실시간 감시 기능을 활성화 시킨 후 아래 링크에 나오는 파일을 생성해 보시면 됩니다.
    http://en.wikipedia.org/wiki/Eicar_test_file
    물론 안철수 연구소 등 상업 백신 제작사들의 예전 공개 버전의 경우 실시간 감시 기능 없이 디스크 상의 바이러스 검색 기능만 있긴 했지만 요즘에는 세상이 좋아져서 공짜 백신도 다 이런 실시간 감시 기능을 제공합니다.
    물론 (계속 언급한다고 해서 악감정이 있는 건 아닙니다만) 안연구소의 ActiveX 버전의 안티 바이러스 및 방화벽 프로그램(My firewall 혹은 최신의 AOS(Ahnlab Online Security)류의 프로그램은 실시간 감시가 있다고 해도 해당 사이트에 접속하는 중에만 기능이 동작하니 그 존재 의의가 아주 미미합니다. 그리고 오히려 사용자에게 자신의 컴퓨터가 언제나 보호된다는 잘못된 인식을 줄 수도 있으니.. 뭐 거의 절대 악.. 까지는 아니고 절대 불필요한 존재라고 볼 수 있겠네요.

    2) 키보드 보안의 경우 위의 안티 바이러스와는 달리 시스템 자체 보다는 해당 사이트 상에서 발생하는 정보의 입력을 보호하는 것이 목적입니다. 그렇기 때문에 해당 사이트에서만 동작하도록 만든다고해서 꼭 말도 안된다고는 보기 힘듭니다. 게다가 공짜 보안 프로그램 중에는 키보드 보안을 지원하는게 없고.. 키보드 보안 프로그램을 사용함으로 인해서 초보적인 수준의 키로거를 상당부분 방지할 수 있는게 사실이기 때문에 일반 사용자들을 상대로 키보드 보안 프로그램 설치를 권장하는 것은 전혀 문제 없다고 생각합니다. 물론 권장하되 강요해서는 안되겠지만요.

  • mylinux03

    인터넷 브라우저 ‘장벽 없애기’

    http://www.etnews.co.kr/news/detail.html?&mc=m_014_00002&id=200903200104

    웹 표준 준수지침 고시를 통해 행정기관·지방자치단체의 신규 홈페이지는 웹 표준을 준수토록 한 바 있으나 기존 웹사이트까지 웹 표준을 지키게 하기 위한 조치다. 생략..

    방송통신위원회는 IE 외의 타 브라우저에서도 인터넷뱅킹을 할 수 있도록 파이어폭스용 공인인증서에 이어 키보드보안 모듈 개발에 들어갔다. 생략..

    좋은 소식입니다.

  • 오픈웹지지

    http://www.etnews.co.kr/news/detail.html?&mc=m_014_00002&id=200903200104

    “방송통신위원회는 IE 외의 타 브라우저에서도 인터넷뱅킹을 할 수 있도록 파이어폭스용 공인인증서에 이어 키보드보안 모듈 개발에 들어갔다. 최근 파이어폭스에서도 사용할 수 있는 공인인증서를 개발했으나, 파이어폭스에서는 보안 모듈이 작동하지 않아 인터넷뱅킹을 사용할 수 없었다. 이를 해결하기 위해 방통위는 올 해 안에 키보드보안모듈을 여러 브라우저 용으로 개발토록 할 계획이다. 공인인증서도 브라우저에 상관없이 작동될 수 있도록 웹브라우저 구분없이 구현되는 모듈을 연내 적용할 예정이다.

    오상진 방통위 과장은 “IE에 비해 파이어폭스 등 다른 브라우저 사용자는 아주 적은 수준이지만 보다 많은 사람들이 서비스를 이용할 수 있어야 한다는 차원에서 키보드 보안 모듈 등을 개발키로 했다”고 말했다.”

    일단 환영할만한 일이기는 하지만, 내용을 보면 여전히 윈도우에 종속된 제품을 만들겠다는 느낌입니다. 액티브X가 파이어폭스 확장모듈모듈로 둔갑하는 게 아닐지 우려스럽습니다.

  • http://openweb.or.kr youknowit

    viz/ 좋은 자료 감사드립니다.

    “백신”은 우리 몸에 특정 세균(bacteria)에 대한 항체(anti-body)를 형성하여 그 세균이 침입하였을 때 그 번식과 생존을 우리몸이 스스로 막아낼 수 있도록 우리 몸에 미리 주입하는 것입니다. 백신을 맞고 나면, 해당 세균이 침입해도, 우리 몸이 스스로 방어해 내므로 “괜찮습니다”. 컴퓨터 바이러스에 대해서도, 많은 사람들이 바로 이런식으로 오해하도록 하는 것이 “백신 프로그램”이라는 용어입니다.

    안티바이러스 프로그램은 백신과는 전혀 구조가 다릅니다. 악성 소프트웨어가 우리 컴퓨터에 실행되려는 순간, 그 직전에 이를 포착하여 이용자에게 “위험성”을 경고하는 기능이 있습니다. 이것이 중요한 보안경고인 셈입니다. 이때 보안경고를 무시하고 “실행” 또는 “설치”를 누르면 감염이 됩니다. 우리 컴퓨터에는 악성프로그램에 대한 면역력이 아예 존재할 수가 없습니다.

    면역능력을 제공하지 않으면, 그것은 백신이 아닙니다.

    손을 깨끗이 씻고, 감염체를 접촉하지 않으면 질병을 “예방”할 수 있습니다. 이것은 안티바이러스 프로그램이 이용자에게 제공할 수 있습니다. 그러나 , 이러한 예방 방법과 “예방 주사”(vaccination)는 완전히 다릅니다.

    안티바이러스 프로그램을 “백신”이라고 부르는 것은 사기입니다.

  • viz

    youknowit / 제 입장에서는 안티 바이러스 프로그램을 백신에 비유하는 것은 매우 적절하다고 생각됩니다.
    백신이 제공하는 항원-항체 반응과 안티 바이러스 프로그램이 제공하는 기능을 매우 유사한 매커니즘을 가지고 있습니다.
    안티 바이러스 프로그램에 따라 다르지만 바이러스 발견시 경고를 표시할 수도 있고 조용히 삭제되도록 할 수 도 있습니다. 조용히 삭제를 선택하면 안티 바이러스 프로그램이 정상적으로 동작한다고 가정할 때 바이러스 프로그램이 컴퓨터 상(메모리, 파일 시스템 등)에 존재 하는 것을 방지할 수 있습니다. 이런 기능을 ‘면역’ 비유하는 것이 무엇이 문제가 되나요?
    잘 아시겠지만 생물학적인 백신 역시 오직 알려진 바이러스 중 선택된 바이러스에 대해서만 면역을 제공할 수 있고 이는 현 안티바이러스 프로그램 동일합니다. 그리고 신체가 백신 없이도 스스로 면역력을 발휘하려는 것과 비슷하게 행동 기반으로 바이러스를 예측하여 방지하는 기능도 왠만한 안티 바이러스 프로그램에는 탑재되어 있습니다. (심지어 안철수연구소 제품에도 해당 기능이 있을 겁니다)
    안연구소의 제품 중 My firewall 및 AOS 제품군은 충분히 비도덕적인 상품이라고 비난 할 수 있으나 이 글타래에서처럼 안티바이러스 솔루션 전체의 가치를 싸잡아 깍아 내리시는 것은 좋아 보이지 않습니다. 그리고 이런 잘못된 주장을 통해 교수님의 훌륭한 주장이 설득력을 잃게 되지 않을까 두렵네요.

  • http://openweb.or.kr youknowit

    viz/ 선생님의 관점을 이제 더 잘 이해하게 됐습니다. 그렇게 보실 수 있겠습니다. 하지만, 저는 “백신”이라는 용어가 이용자에게 과장된 자신감을 불러일으킨다고 생각합니다. 저는 “백신”이라는 용어를 문제 삼는 것이지, 본격 안티바이러스 제품의 유용성을 의심하지는 않습니다.

  • 나그네

    youknowit/ “백신”이라는 용어가 어떻게 하여 우리나라에서 쓰이게 되었는지 알고 계신지 궁금합니다. 댓글 내용 중 “안티바이러스 프로그램을 “백신”이라고 부르는 것은 사기입니다.”라고 하셨는데, 누가 누구에게 사기(詐欺)를 쳤다는 말처럼 들리는군요.

  • 나그네

    vis/ 말씀에 동의합니다. 하나 덧붙이자면 “키보드 보안 프로그램을 사용함으로 인해서 초보적인 수준의 키로거를 상당부분 방지할 수 있는게 사실이기 때문에..” 하셨지만 요즘의 키보드 보안 프로그램은 초보적인 수준의 키로거 이상의 대다수의 키로거 프로그램에 대해 방어하고 있습니다. 불과 1년전만 해도 초보적이라 말할만 했지만 그동안 국내 언더그라운드 해커의 지속적인 연구로 매우 많은 발전이 이루어졌다고 생각합니다.

  • http://openweb.or.kr youknowit

    “백신”이라는 말을 우리나라에 널리 퍼뜨린 분이 누군지에 대하여 제가 아는 내용은 여기에 게시해 두었습니다. 수정하거나, 추가할 내용이 있으면 알려주시기 바랍니다.

    보안업체들이 자기 제품을 다음과 같이 정확하게 안내하면, 사기라는 주장을 철회하고 모든 책임을 지겠습니다:

    • 윈도우XP(서비스팩2) 이상을 사용하시는 분들은 개인방화벽프로그램을 굳이 별도로 설치하실 필요가 없습니다. 윈도우에 기본 탑재된 방화벽을 활성화 하십시오.
    • 우리가 제공하는 안티바이러스/개인방화벽 프로그램은 이용자가 은행 사이트를 벗어나는 순간, 모두 종료됩니다. 따라서, 별도의 본격 안티바이러스 제품을 사용하지 않는 분들은 무방비 상태로 됩니다.
    • 별도의 본격 안티바이러스 제품을 이미 사용하고 계신 분들은 우리가 제공하는 제품을 설치할 필요가 없습니다.
    • 본격 안티바이러스 프로그램들은 우리 제품 중 일부를 바이러스, 멀웨어로 인식합니다. 따라서 우리 제품을 사용하면, 상시로 이용자에게 보호수단을 제공하는 본격 보안 제품은 사용하기 불편해 집니다.
    • 법령은 우리가 제공하는 보안프로그램을 설치하지 않더라도 전자금융거래를 할 수 있도록 규정하고 있습니다.
    • “보안경고창”이 나타나면, 그 내용을 자세히 읽어 보셔야 합니다. 거기 표시된 내용이 무슨 뜻인지 확실히 이해하지 못하는 분들은, 반드시 “아니오”를 누르셔야 합니다.
  • 오픈웹지지

    백신이라는 단어에 대한 댓글의 논쟁은 본래 글요지의 논지에서 벗어나는 듯합니다. 원래 글의 요지에서 벗어나서 핵심이 흐려지는 것 같기도 하구요. 이에 대한 논의는 별개로 말씀을 나누시는게 어떨지요?

  • Yi Jong

    “만병통치약”치고 만병을 치료하는 것이 없고, “범용”치고 아무 곳에나 쓸 수 있는 것이 거의 없지요.

    백신이라는 단어가 내포하고 있는 뉘앙스가 문제가 있긴 합니다만.. 다른 사례에서도 제품 이름으로 “뻥”을 치는 경우가 워낙 많다보니 어디까지를 받아들일 수 있는 기준으로 삼아야 할 지가 좀 난감하군요.

    viz//
    프리웨어 키보드 보안 프로그램이 있긴 합니다. KeyScrambler Personal(http://download.cnet.com/KeyScrambler-Personal/3000-2144_4-10571274.html) 이나 PeerGuardian 2(http://download.cnet.com/PeerGuardian/3000-2144_4-10438288.html?tag=mncol;pop) 등등이 있습니다.

  • 나그네

    youknowit/ “안티바이러스 프로그램을 “백신”이라고 부르는 것은 사기입니다.”라는 주장과 제품 안내문을 수정하면 주장을 철회하겠다고 하시는 것은 앞뒤가 안맞는 것 같습니다. 저 역시 안철수님의 첫 안티 바이러스 프로그램의 이름으로부터 “백신”이라는 용어가 유래했다고 알고있습니다. 당시 그분이 의학에 몸담고 계셨기 때문에 “Vaccine” 이라는 프로그램명을 사용하신 것이 아닐까 추측해 볼 수 있는데, 이 프로그램이 사용자에게 널리 알려져 단어의 일반화 현상이 생긴 것일뿐 “백신”이라는 용어를 사용하는 것이 사기(詐欺)라고는 생각되지 않는다는게 제 생각입니다.

  • 타이레놀

    붕어빵에 붕어가 없습니다.
    이게 사기일까요?
    안티바이러스를 백신이라 부른다고 사기일까요?
    이건 정말 말장난이 될 수 있겠네요.
    오픈웹을 지지하는 사람이지만 이건 좀 아닌 것 같네요.

    중요한 오픈웹의 정신은 사라지고 폐쇄된 공간이 될까 걱정이네요.
    오픈웹 초기 정신이 아쉽네요…

  • VongZa

    안티바이러스 프로그램의 이름으로서 백신3은 상관 없겠지만, 상품설명에 이것은 백신이다라고 해놓으면 오해의 소지가 있지 않을까요. 안티바이러스와 백신은 의미가 다르다고 볼 수 있으니까요.

  • RK

    “바나나 우유” (X) -> 실제로 바나나가 들어있지 않다.
    “바나나맛 우유” (O)
    뭐 이정도로 이해하시면 될듯 하네요.